Bulletin d'alerte Debian

DSA-4023-1 slurm-llnl -- Mise à jour de sécurité

Date du rapport :
7 novembre 2017
Paquets concernés :
slurm-llnl
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 880530.
Dans le dictionnaire CVE du Mitre : CVE-2017-15566.
Plus de précisions :

Ryan Day a découvert que SLURM (« Simple Linux Utility for Resource Management »), un système de gestion de ressources de grappes et d'ordonnancement de tâches, ne gère pas correctement les variables d'environnement SPANK, permettant à un utilisateur autorisé à soumettre des tâches d'exécuter du code en tant que superutilisateur pendant l'exécution de Prolog ou Epilog. Tous les systèmes qui utilisent un script Prolog ou Epilog sont vulnérables, indépendamment du fait que les greffons SPANK sont actifs ou non.

Pour la distribution stable (Stretch), ce problème a été corrigé dans la version 16.05.9-1+deb9u1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 17.02.9-1.

Nous vous recommandons de mettre à jour vos paquets slurm-llnl.